Пароль — первая линия цифровой обороны. Но это еще и головная боль: и для пользователей, и для экспертов по безопасности. Специалисты рекомендуют выбирать пароли посложнее, даже целые парольные фразы. А еще неустанно напоминают о том, что они должны быть разными. Мы знаем эти правила, но все равно делаем по-своему — продолжаем использовать одинаковые пароли для своих аккаунтов.
Пользователи не виноваты
Буквально каждый сайт, на котором зарегистрирован пользователь, требует пароля. Из-за этого обычный человек становится жертвой парольной защиты — по статистике, у типичного юзера около сотни паролей.
Так много — сложно запомнить, поэтому мы выбираем и используем те, что попроще. А иногда один и тот же пароль сразу для всех профилей. Это видно по спискам наиболее популярных комбинаций, где много лет подряд встречаются admin, administrator, foobar, qwerty, love123 или что-то подобные. Да, мы пренебрегаем безопасностью, потому что физически не в состоянии запомнить все свои пароли.
Еще одна проблема — утечки. Пароль перестает быть тайной, но пользователи его не меняют, даже если об этом просит Google. Кажется невероятным, но исследователи из SpyCloud обнаружили, что более 65% взломанных ранее паролей все еще используются. А у двух третей пользователей — установлен одинаковый пароль для разных аккаунтов.
Все это говорит о том, что защита паролем сама по себе ненадежна. Поэтому мир технологий задумался над альтернативами. Часть из них — пока только разработки на будущее, но какие-то доступны уже сегодня. Одни из этих решений работают в связке с паролями, другие — полностью заменяют их.
Как вообще работают пароли
Пароль нужен чтобы отличать «своих» от «чужих». Тот, кто знает пароль превращается для сайта или приложения в «своего» — его можно пустить в закрытое интернет-пространство. Например, в рабочий чат компании либо в личный ящик электронной почты.
Любая процедура аутентификации (проверки пользователей) строится на одном из трех факторов:
- Первый, самый очевидный и привычный — пароль. Это нечто, известное только пользователю. Вместо пароля для аутентификации можно использовать, например, PIN-код банковской карты или кодовую комбинацию для замка сейфа.
- Еще один фактор аутентификации — нечто, чем владеет только пользователь. Примером может быть ключ от замка, который позволит попасть внутрь дома или магнитная карта — ключ к гостиничному номеру. Таким приспособлением может быть специальный девайс с электронной подписью либо просто файл, содержащии ее.
- Третий фактор, который применяют для аутентификации — то, кем человек является, кто он есть. Речь идет о биометрических характеристиках — отпечатках пальцев, фотографии лица, снимке сетчатки глаза, а в более сложных случаях — других сведениях о человеке, вплоть до ДНК.
Вместо пароля: «Кто вы есть?»
Наиболее очевидный аналог пароля — это биометрические данные, которые уже используют разработчики смартфонов. Это и дактилоскопические датчики (сканеры отпечатков пальцев), и считыватели радужной оболочки глаза, и инструменты Face ID — аутентификация по изображению лица.
Преимущества:
Биометрические данные всегда при нас — не нужно запоминать пароль или иметь под рукой специальное устройство.
Недостатки:
Биометрию легко подделать или использовать против воли человека. Можно заставить разблокировать смартфон или зайти на сайт — с помощью угроз или обманом. Достаточно просто поднести камеру к лицу или прижать палец к датчику. Например, несколько лет назад нашли способ обойти дактилоскопический датчик для iPhone 6 с помощью пластилина и скотча. А сегодня даже маленькие дети знают, как разблокировать телефон, пока мама спит.
Как выбрать и правильно применять:
Биометрия — неплохая альтернатива экранному паролю для смартфона. Лучше покупать гаджет, у которого есть дактилоскопический сканер, чем датчик с Face ID.
Хотя системы распознавания лиц работают точно, иногда они не узнают человека. Когда мы были вынуждены носить маски, Face ID вовсе был неудобен — для смартфонов приходилось вводить цифровой PIN-код.
Какой может быть биометрия будущего
Не только лицо или палец могут стать заменой паролю. Уже созданы более сложные системы, к примеру, использование артикуляции, походки, голоса и других уникальных характеристик человек.
Компания Fujitsu продвигает собственную разработку — Fujitsu PalmSecure, позволяющую узнавать человека по рисунку вен. В корпорации считают, что этот способ надежнее, чем дактилоскопия или Face ID.
Инженеры фирмы Nymi научились определять человека по сердечному ритму. Для такой биометрии предназначен Bluetooth браслет Nymi Band, способный авторизовать владельца на сайтах и в мобильных приложениях. А приложение ERGO обещает разблокировку смартфона по форме ушей. Ученые изучают аутентификацию по артикуляции (движению губ) или по походке и даже по поведению.
Как усилить пароль мультифакторной аутентификацей
Простой способ улучшить защиту ваших устройств и аккаунтов — использовать не только пароль, а еще и другие данные для аутентификации.
Все знакомы с тем, как проходят онлайновые банковские платежи. После ввода данных карты, CVV-кода, банк присылает одноразовый код. Этот код — дополнительным фактор проверки, который помогает завершить платеж. Иными словами, банк использует два параметра: данные карты и одноразовый код. Эта аутентификация называется двухфакторной.
По такому же принципу строится двухфакторная аутентификация в электронной почте и популярных онлайн-сервисах. Чтобы попасть на сайт, пользователь вводит пароль и одноразовый код, полученный через SMS. Иногда сервис может требовать пароль и биометрические данные, например, отпечаток пальца.
Преимущества:
Метод уже доступен для многих сайтов и приложений, прост в настройке.
Недостатки:
Одноразовый код в SMS могут перехватить. Отсутствие телефона для получения одноразового кода может стать проблемой.
Как выбрать и правильно применять:
- Не стоит использовать для всех сайтов и приложений. Двухфакторная аутентификация нужна только для критически важных сервисов. Например, для основной электронной почты, хостинга, банковского приложения.
- Есть смысл при настройке сгенерировать и распечатать резервные коды. Это поможет войти в аккаунт, когда вы окажетесь без телефона и не будет возможности получить одноразовый код
Аппаратный токен вместо одноразового кода
Двухфакторная аутентификация тоже недостаточно надежна — существует множество разных техник перехвата SMS-сообщений с одноразовыми кодами.
Защитить себя от таких рисков можно с помощью аппаратных токенов или физических ключей. Это небольшие устройства, напоминающие флешку: внутри информация о пользователе и сайтах, на который он хочет попасть. Подключить такое устройство можно в настройках сайта.
Для аутентификации на ресурсе, который поддерживает аппаратный ключ, после ввода пароля нужно вставить девайс в USB порт и просто нажать на кнопку. А есть ключи, которые работают через NFC или Bluetooth — в этом случае достаточно, чтобы их распознало основное устройство.
Преимущества:
На сегодня, это самый надежный способ защиты аккаунта.
Недостатки:
Аппаратный токен стоит денег — от 25 до 85 $ за одно устройство.
Как выбрать и правильно применять:
- Позаботьтесь о том, чтобы токен всегда был под рукой.
- Лучше приобрести сразу два гаджета — на случай, если один потеряется.
- Не забывайте про резервные коды. Они помогут, если токена не будет под рукой.
Одни из самых популярных аппаратных токенов — устройства компании Yubico. О преимуществах разных моделей можно почитать на сайте.
Продвинутые вариации парольной защиты
В IT давно пытаются полностью отказаться от паролей. Компании ищут, чем заменить пароль при аутентификации на сайтах. Один из примеров: аутентификация по Email. Пользователь должен авторизоваться в электронной почте и использовать уникальную ссылку, которую отправят на его адрес. По схожей схеме работает процедура регистрации на сайте. Но все чаще появляются инструменты, которые предлагают расширить эту идею, к примеру, концепция Magic Links — логины на базе блокчейна.
Еще одна парольная альтернатива: SSO (Single Sign-On) или технология единого входа. Она предполагает одноразовую аутентификацию для всех сайтов и приложений. Это означает, что для всех сервисов используется один набор данных. Самой известной реализацией SSO стал стандарт OpenID, который используют Google, Meta, Yahoo!, AOL, LiveJournal, MySpace, IBM, Steam, Orange. Да, это тот самый случай, когда вы заходите на сайт, а вам предлагают авторизоваться с помощью аккаунта Google.
Одноразовые или случайным образом генерируемые пароли тоже давно тестируются как парольная альтернатива. К примеру, такой способ изучала компания Yahoo! для своей почты или игровой сервис Steam в системе Steam Guard.
Passwordless и FIDO: есть ли будущее без паролей
Концепция Passwordless — вероятно, самый серьезный подход к поиску парольных альтернатив. Идея состоит в том, чтобы полностью отказаться от паролей, а взамен использовать другие факторы аутентификации. Либо то, кем человек является, либо то, что у него есть, а часто — комбинаций этих двух параметров. Такую технологию иногда еще называют мультифакторной авторизацией без пароля.
Обычно беспарольная аутентификация использует биометрию и шифрование на основе открытых ключей. При регистрации на сайте пользователь вначале получает запрос, потом определяет метод проверки: к примеру, сканер отпечатка пальца. Затем устройство генерирует пару открытых и закрытых ключей — открытый отправляет на сервер.
Это выглядит так, что при попытке зайти на сайт человек подтверждает себя с помощью отпечатка пальца. А следующий этап — использование цифровой подписи, которая проверяется с помощью открытого ключа.
Этот способ продвигает альянс FIDO (Fast Identity Online Alliance), в который входят ведущие технологические компании. Организация создает стандартны и технологии, позволяющие совсем отказаться от паролей. Недавно FIDO опубликовал рекомендации по использованию Passwordless.
Первым тестом применения стала функция Passkeys in iCloud Keychain компании Apple. Протоколы, разработанные FIDO, совместимы с оборудованием и инструментами биометрии, которые есть сейчас. Так что аутентификацию без паролей можно будет применять на многих сайтах и веб-приложениях. И это, вероятно, случится очень скоро.
Основа стандарта — использование биометрических сканеров (либо других способов авторизации, к примеру, главного PIN-кода) для локальной аутентификации. А операционная система получит менеджер данных FIDO, напоминающий менеджер паролей. Только в нем, вместо паролей, будут сохраняться криптографические ключи, защищенные теми самыми биометрическими данными.
В процессе входа с помощью биометрических данных или PIN-кода пользователь разблокирует закрытый ключ на устройстве своем. Открытый ключ хранится на сервере. Их комбинация завершает аутентификацию.
Важно, что данные не передаются на сервер — это защищает их от перехвата и взлома. А отсутствие пароля и то, что вместо него используются биометрических данные или PIN-код, многократно усиливает защиту.
Как выбрать и правильно применять:
К сожалению, пока никак. Эти решения только тестируются и не доступны для массового применения прямо сейчас.
Что в итоге
Сложный и длинный пароль — уже недостаточно. Даже лучшие из них взламывают, сведения об утечках попадают в хакерские базы данных. Чтобы повысить безопасность, требуется либо альтернатива паролю, либо дополнительный фактор аутентификации. У каждого из способов свои плюсы и минусы.
Если у вас смартфон:
- используйте биометрию вместе с экранным паролем;
- сканер отпечатка лучше, чем Face ID.
Если пользуетесь онлайн-сервисами:
- двухфакторная авторизация усилит защиту — не пренебрегайте ей;
- аппаратный токен — лучший на сегодня второй фактор авторизации;
- настраивая двухфакторную авторизацию, не забудьте подготовить одноразовые коды. Это нужно, если телефон или аппаратный токен будут недоступны.